Google gaat vanaf Chrome 90 tls-certificaten van certificaatautoriteit Camerfirma blokkeren. Aanleiding is een lange reeks van overtredingen door de certificaatautoriteit die teruggaan tot maart 2017. Zo heeft Camerfirma certificaten voor een niet geregistreerd domein uitgegeven en verstrekte het een certificaat met een verkeerde organisatienaam. Ook had de certificaatautoriteit twee sub-certificaatautoriteiten die het vrij spel gaf en niet controleerde, terwijl de regels voor certificaatautoriteiten dit verplichten.
Volgens Ryan Sleevi van Google is er sprake van "systemisch falen", net zoals bij Symantec het geval was. Daarvan besloot Google ook de certificaten te blokkeren. Volgens Sleevi heeft Camerfirma herhaaldelijk zelfs de meest basale verwachtingen van een certificaatautoriteit niet waar kunnen maken en de tekortkomingen niet gedetecteerd. "We zien een falen van zowel Camerfirma als diens ondergeschikten om problemen tijdig te detecteren en melden, en een falen om systemen te ontwerpen die robuust genoeg zijn om snel actie te ondernemen", merkt Sleevi op.
Certificaatautoriteiten geven tls-certificaten uit die voor versleutelde verbindingen en identificatie van websites worden gebruikt. Fouten door deze partijen kunnen dan ook grote gevolgen hebben. Volgens Sleevi wil Camerfirma de ernst van de problemen niet erkennen, ondanks dat het al jaren de eisen voor certificaatautoriteiten niet goed heeft geïmplementeerd.
Google heeft daarom besloten om vanaf Chrome 90, die op 13 april moet verschijnen, certificaten van Camerfirma te blokkeren. Bij het bezoeken van websites met Camerfirma-certificaten krijgen gebruikers een waarschuwing dat het certificaat is ingetrokken. Deze waarschuwing kan niet worden genegeerd, wat inhoudt dat gebruikers de website niet kunnen bezoeken. Of andere browserontwikkelaars zullen volgen is op dit moment nog niet bekend, maar het ligt in de lijn der verwachting. Bij soortgelijke incidenten in het verleden kwamen browserontwikkelaars vaak tot dezelfde conclusie.
Deze posting is gelocked. Reageren is niet meer mogelijk.